Trend Vision One Endpoint Security(Server & Workload Protection)で不正プログラム対策の除外設定について

こんにちは、シマです。

皆さんはTrend Vision One Endpoint Security(Server & Workload Protection)（以降、V1ES）を使っていますか？V1ESは、トレンドマイクロ社が提供するソリューションの1つで、Cloud One Workload Security（以降、C1WS）の後継製品です。クラウド上に存在するサーバーやインスタンスを保護するために必要な機能を提供する、クラウド型総合サーバーセキュリティサービスとなっています。

今回は、V1ESで不正プログラム対策の除外設定を作成する方法についてご紹介します。セキュリティを維持しながら、業務に必要なファイルやプロセスを適切に除外設定する手順を見ていきましょう。

なぜ不正プログラム対策の除外設定が必要なのか

V1ESの不正プログラム対策機能は、システムを保護するためにリアルタイムスキャンやスケジュールスキャンを実行します。しかし、以下のような問題が発生することがあります。

• 正規のアプリケーションやファイルの誤検知
• 頻繁に書き換えられるデータベースファイルへのスキャンによるパフォーマンス低下

適切な除外設定を行うことで、誤検知やパフォーマンスの低下を防ぎ、業務効率を保つことができます。

実際に設定してみた

既にV1ESで不正プログラム対策が動作している環境に、除外設定を追加していきます。

1. ディレクトリリストの作成

V1ESの管理画面から「ポリシー」タブを選択し、左側のメニューから除外設定をしたいリストを選択します。今回は除外ディレクトリを設定するため、「ディレクトリリスト」をクリックし、「新規」→「新しいディレクトリリスト」を選択します。

任意の名前と対象ディレクトリを指定し、「OK」ボタンをクリックします。

2. 不正プログラム検索設定の作成

次に、不正プログラム検索設定を作成します。今回はリアルタイム検索の除外設定を追加するため、左側のメニューから「不正プログラム検索設定」を選択し、「新規」→「新規の不正プログラムのリアルタイム検索設定」を選択します。

任意の名前を指定し、「検索除外」タブから「ディレクトリリスト」で、先ほど作成したディレクトリリストを指定し、「OK」ボタンをクリックします。

3. ポリシーへの適用

最後に、対象コンピューターに割り当てているポリシーに不正プログラム検索設定を適用します。「ポリシー」タブを選択し、左側のメニューから「ポリシー」をクリックし、対象のポリシー名をダブルクリックします。

「不正プログラム対策」から「リアルタイム検索」内の不正プログラム検索設定を、先ほど作成した設定に変更し、「保存」ボタンをクリックします。

動作確認

設定した除外ディレクトリに対して、EICARテストファイルを配置し、隔離されないことを確認しました。

[ec2-user@ip-10-0-14-219 test]$ pwd
/home/ec2-user/test
[ec2-user@ip-10-0-14-219 test]$ curl -O https://secure.eicar.org/eicar.com
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100    68  100    68    0     0     91      0 --:--:-- --:--:-- --:--:--    91
[ec2-user@ip-10-0-14-219 test]$ ll
total 4
-rw-r--r--. 1 ec2-user ec2-user 68 Jun 25 04:20 eicar.com

通常であれば即座に隔離されるEICARテストファイルが、除外設定により隔離されずに残っていることが確認できました。

まとめ

今回は、V1ESの不正プログラム対策の除外設定を試してみました。除外設定を適切に活用することで、セキュリティと業務効率のバランスを取ることができます。ただし、過度な除外設定はセキュリティホールになる可能性もあるため、必要最小限に留め、定期的に見直すことが重要です。

本記事がどなたかのお役に立てれば幸いです。